'정부 주도의 첫 AI 규제법'··· EU, AI법으로 무분별한 개발 막는다

[IT동아 남시현 기자] 현지시간 12월 9일, 유럽연합 이사회 의장단과 유럽의회 협상단이 ‘인공지능 법’에 대한 잠정 합의에 도달했다. 관련 투표는 내년 초 개최 예정이며, 2025년은 되어야 공식 발효될 전망이다. 전 세계적으로 인공지능 개발이 속도를 내고 있는 가운데, 정부 차원에서 인공지능에 대한 규제를 성문화한 것은 세계 최초다. 규정 초안은 유럽 시장에 배치되는 인공지능을 개발하는 규칙을 담고 있으며, 원격 생체 인식이나 기본권 영향 평가 등을 의무적으로 수행한다.

EU AI법, 책임감 있는 AI 만들도록 강제한다

이번 EU AI법은 인공지능 개발에서 등외시되고 있는 ‘책임감 있는 AI’를 강제적으로 이행하게 만든다는 점에서 의의가 크다. 지난 2017년, 전 세계 경제, 법률, 윤리, 철학 분야의 100여 명 이상의 리더 및 연구자들이 캘리포니아 주 아실로마 콘퍼런스 그라운드에서 AI 연구를 위한 24가지 아실로마 AI 원칙을 제정했다.

원칙은 연구 이슈(5개 항), 윤리와 가치(13개 항), 장기 이슈(5개 항)까지 총 3개 범주로 구성돼 있고, 물리학자 스티븐 호킹이나 컴퓨터 공학자 레이 커즈와일, 오픈AI의 샘 알트만, 일론 머스크 등 2천300여 명이 서명했다. 하지만 주요 참여 인력이었던 오픈AI가 인공지능에 대한 안전보다 기술적 알 권리를 내세워 챗GPT를 공개했고, 이로인해 구글과 메타AI, 마이크로소프트 등도 잇달아 인공지능을 공개하면서 무한 경쟁이 시작됐다.

그렇게 지난해 11월 갑자기 등장한 챗GPT는 세상을 바꿔놓았고, 연이어 등장한 생성형 AI와 대형 언어 모델은 1년도 되지 않아 전 세계 모든 산업 생태계를 바꿔놓기 시작했다. 문제는 속도가 지나치게 빨라 곳곳에서 경제, 윤리, 개인정보 보호, 지속가능성 등에 대한 우려가 터져나오는 상황이다.

강제력 없는 블레츨리 선언, 강제력 갖춘 EU AI법

이에 대응해 전 세계 28개국은 지난 11월 2일 영국 블레츨리 파크에서 ‘AI 안전 정상회의’를 열고 인공지능의 위험성을 평가하고 관리하는 ‘블레츨리 선언’을 발표했고, 2021년 4월에 제출된 EU AI법이 합의 끝에 법제화를 시작하면서 무분별한 인공지능 개발에도 제동 장치가 마련됐다.

블레츨리 선언의 경우 미국, 영국 두 국가가 주도하며, ‘국가 AI 연구 자원’을 통해 전 세계 AI 연구자들을 위한 클라우드를 제공함과 더불어 AI가 도입되는 다양한 분야에서 표준과 정의를 수립하는 데 주력한다. 예를 들어 비전 인식 분야에서는 개인 안면 인식 등의 표준화를 만들고, 자율주행 측면에서는 도덕적 딜레마 등의 원칙을 세우는 것이다.

EU AI법은 블레츨리 선언보다 훨씬 더 면밀하고 정확하며, 처벌 규정까지 담고 있다. 합의된 초안은 향후 시스템 위험을 초래할 수 있는 영향력이 큰 범용 AI 모델, 그리고 고위험 AI 시스템에 대한 규칙을 수립하며, EU 수준에서 운영 차원에 집행 권한을 갖는다. 또 금지 목록을 만들고, 공공장소에서 법 집행 기관이 원격 생체 인식을 사용할 수 있도록 허용한다. 또한 고위험 AI 개발사는 기본권 영향 평가를 의무적으로 수행해 대상사 권리를 보호한다.

대신 민감 데이터의 적절한 취급, 업무 능력의 보존 등의 내용을 담은 적합성 평가를 통과했을 경우 문제없이 사용할 수 있고, 이를 위해 투명성 의무를 준수해야 할 것을 주문한다. 만약 AI 법을 위반할 경우 글로벌 연간 매출액의 7% 또는 3500만 유로(약 495억 원)의 벌금을 내게 된다. 유럽의회는 표결 이후 약 2년 뒤부터 해당 법안을 발효할 예정이다.

GDPR 절차 밟는 EU AI법, 우리나라는 지지부진해

EU AI법은 유럽 일반 개인정보 보호법(GDPR)과 동일한 절차를 밟을 것으로 보인다. GDPR은 EU 내에서 사업하는 조직 및 기관이 EU 시민의 데이터와 개인정보를 저장 및 전송 등을 규제하는 법안이며, 매출의 4% 또는 2000만 유로(283억 원)를 벌금으로 납부하는 강제력이 있다. 이로 인해 전 세계 모든 기업들이 GDPR에 맞는 개인정보 보호 방안 절차를 마련했고, 자연스레 취급 방안이 표준화됐다. EU AI법은 더 큰 강제력을 갖췄으며, 소수의 개발 기업들을 겨냥한 입법이어서 더 강력하게 작용할 것이다.

문제는 우리나라다. 우리 국회는 2021년 이루다 사태 등 개인정보 보호 위반 사례를 계기로 ‘인공지능 산업 육성 및 신뢰 기반 조성에 관한 법률’로 규제안을 마련했지만, 지난 2월 과방위 법안 소위 통과 이후 지지부진한 상황이다. 심지어 신뢰성 검증과 사전 적정성 검토제가 제대로 논의되지 않아 법안 자체의 허점이 큰 상황이다. 전 세계적으로 AI에 대한 강력한 규제가 마련되고 있는 만큼, 무분별한 AI 개발을 막기 위해서라도 대책이 시급하다.

글 / IT동아 남시현 (sh@itdonga.com)